Személyes adatok védelme a világhálón Dr. Mező István DE-ÁJK tanársegéd Grafik: Robert Fucik
Témakör csomópontjai Internet gazdasági és jogi meghatározása Adatvédelem alapelvei Adatvédelem fejlődése Konfliktus helyzetek Személyes adatok kezelés az elektronikus szolgáltatások során Munkahelyi internet használat Adatvadászat E-fizetés Speciális adatvédelmi előírások
Internet gazdasági hatásai Globális jellegű piac Minden információt mindenkinek minden időben, és mindenütt Határtalan piac előnyei és hátrányai Az internet, mint egész senkié 100%-os biztonság nem létezik Kibertér kockázatai Írástudók hatalma Ismeretlenség Bizalom hiánya Jogi vákuum
Internet jogi jellemzése Nyilvános, elvileg bárki számára hozzáférhető Nincs tekintettel országhatárokra Adatvédelmi, adatbiztonsági szempontból igen sérülékeny Olyan információk, adatok érhetők el általa, amelyek ellenőrizetlen forrásból származnak Jogsértő cselekmények elkövetésére széles teret enged
Internet jogi keretei adatvédelem szerzői jogok elektronikus kereskedelem e-fizetés elektronikus hitelesség elektronikus hírközlés reklámozási előírások és fogyasztóvédelem számítógépes bűnözés elleni fellépés IT-biztonság követelményei
Adatvédelem fejlődésének rövid áttekintése I. generációs „informatikai törvények” 1970-es évek Információs önrendelkezési jogok garantáló nemzeti és nemzetközi adatvédelmi szabályozások ET adatvédelmi egyezménye (1981) magyar Avtv. 1992 95/46/EK irányelv létrehozta egységes adatvédelmi teret az EU-n belül ET ajánlásai a személyes adatok védelméről az interneten, (99.5) Teledienstdatenschutzgesetz (TDDSG) 1997 technológiaorientált és szektor semleges adatvédelem
Adatvédelem alapelvei EU Alapjogi Chartájában Személyes adatokat kizárólag az érintett önkéntes, tájékozott beleegyezése vagy törvényi felhatalmazás alapján lehet gyűjteni Személyes adatok kezelése célhoz kötött (tilos az indokolatlan tárolás) Mindenki megismerheti a róla gyűjtött adatokat Érintettet tájékoztatás és tiltakozási jog illeti meg Személyes adatokat csak tisztességesen és jóhiszeműen lehet gyűjteni (tilos a titkos adatgyűjtés törvényi felhatalmazás nélkül) Személyes adatok törvényes kezelését független hatóságnak kell ellenőrizni
EK adatvédelmi jogának a fejlődése 29-es munkacsoport felállítása (3/97-es ajánlás) 97/66/ EK irányelv személyes adatok védelme a távközlésben 45/2001/EK rendelet létrehozta az Európai Adatvédelmi Biztos Lindqvist ügy C-101/01 2002/58/EK irányelv a személyes adatok védelméről az elektronikus hírközlésben 2004/535/EK Bizottsági döntés a légi utasok adatainak USA-beli továbbításáról Irányelv tervezet a munkahelyi privacy védelméről Data retention (adat megőrzési irányelv)
95/46/EK irányelv a személyes adatok védelméről és az adatok szabad áramlásáról Tárgyi, tartalmi hatály Adatvédelem alapelvei Fogalmi egységesítés Alkalmazandó jog meghatározása Adatkezelés jogszerű alapjai Érintettek tiltakozási jogainak rögzítése Adatfeldolgozás szabályai Személyes adatok továbbítása harmadik országba Felelősség, szankciók, bírói kontroll Független adatvédelmi kontroll
Személyes adat fogalma bármely meghatározott (azonosított vagy azonosítható) természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. A személy különösen akkor tekinthető azonosíthatónak, ha őt – közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet; Információ: bármely, elektronikus úton feldolgozható, tárolható, továbbítható adat, jel, kép tekintet nélkül arra, hogy annak tartalma jogi védelemben részesül-e;
Védendő adatok köre Jelszavak, belépési kódok IP cím Látogatott lapok közötti kapcsolat A lapok böngészésének időtartama E-mail Telefonszám Bankszámla Képek, Aláírás (képe)
Személyes adatokat veszélyeztető tényezők az interneten Személyes adatok kéretlen közzététele Cookies (sütik) és Log-file Védetlen e-mailek átírása, átirányítása, lemásolása Chat szobák statisztikai kiértékelése Adathalászat, adatlopás Adatnyomok feltérképezése fogyasztási vagy személyiség profilok kialakítása Kémprogramok, vírusok Lehallgatások Használati és kapcsolási adatok hosszú idejű tárolása Carnivore és az ECHELON
Veszélyeztető tényezők elleni fellépés eszközei Önvédelem (tudatos felhasználói szokások, privát titkosítás) Önszabályozás Adatvédelmi audit Bizalom, mint versenyelőny kialakítása Jogi előírások megléte, felelősség érvényesítése Technológiai eszközök fejlesztése Globális együttműködés a biztonság fokozásáért
Elektronikus kereskedelmi szolgáltatásokra irányadó törvényi előírások 1959: IV. Ptk (Polgári Törvénykönyv) 1992: LXIII. Avtv 1997: CLV. fogyasztóvédelmi tv 2001: CVIII.tv az e-kereskedelemről 17/1999. (II.9) Korm.r. a távollevők között kötött szerződésekről 1996:CXII. Hptv 13/b§
Az Internetre is alkalmazandó Avtv. előírások Adatkezelőnek meg kell tennie mindazon technikai és szervezeti intézkedések, hogy az adatvédelem szabályai érvényesüljnenek. Adatkezelőnek tájékoztatást kell adnia adatvédelmi politikájáról Milyen adatokat gyűjt, dolgoz fel, milyen módon, milyen célból és milyen hosszú ideig őrzi meg azokat Adatvédelmi Biztos hatásköre kiterjed az interneten folyó személyes adatkezelésekre is Jogsérelem esetén az adatkezelő ellen kereset indítható bíróság előtt Az adatkezelőnek kárfelelősége áll fent, amely alól csak akkor mentesülhet, ha bizonyítja, hogy a kárt az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
Internet alkalmazásának jogi követelményei I. Szolgáltatás nyújtás esetén az ASZF-t hozzáférhetővé kell tenni és tájékoztatást kell adnia a 2001:CVIII.tv 4§ alapján Anonimitás lehetővé kell tenni a böngészés esetén, Ha a jogügylet biztonságos lebonyolításához szükséges, akkor kerülhet sor a felhasználó azonosítására Felhasználókat tájékoztatni kell az interneten folyó kommunikáció kockázatairól, és ezek csökkentésének formáiról Szolgáltató nem olvashatja el, nem módosíthatja másoknak küldött üzeneteket. A szolgáltató az általa nyújtott szolgáltatásra irányuló szerződés létrehozására, módosítására, díjak számlázásának figyelemmel kísérésel illetve követeléseinek érvényesítése céljából kezelheti a szolgáltatását igénybe vevő felhasználók adatait
Internet alkalmazásának jogi követelményei II. A szolgáltató a szolgáltatása igénybevételével kapcsolatos adatokat kezelheti, ha arra szolgáltatása hatékonyságának növelése érdekében kerül sor, de nem kapcsolhatók össze az igénybe vevő adataival. A szolgáltató az igénybe vevőnek címzett elektronikus hirdetés vagy egyéb címzett tartalom eljuttatása, piackutatás céljából – csak az adatkezelési cél előzetes meghatározása mellett és az igénybe vevő hozzájárulása alapján kezelhet. A igénybe vevőnek az információs társadalommal összefüggő szolgáltatás igénybevételét megelőzően és a szolgáltatás igénybevétele során is folyamatosan biztosítani kell, hogy az adatkezelést megtilthassa.
Szolgáltató által kezelt adatok köre Alapadatok (név, cím, telefonszám bankszámla) Használati adatok Használat kezdete vége Látogatott lapok köre Küldött levelek tartalma, címzettjei Minden „egérkattintás”
kéretlen reklámok és álüzenetek tilalma Elektronikus levelezés vagy azzal egyenértékű egyéni kommunikációs eszköz útján kizárólag az igénybe vevő egyértelmű, előzetes hozzájárulásával küldhető elektronikus hirdetés. Hozzájáruló nyilatkozat bármely olyan módon tehető, amely lehetővé teszi a hozzájáruló nyilatkozatot tevő személy azonosítását, valamint a hozzájárulás önkéntes és a megfelelő tájékoztatás birtokában történő kifejezését. Tájékoztatni kell a címzettet, hogy hozzájárulását visszavonhatja A szolgáltatónak „Robinson-listát” kell vezetnie
Összegzés Többrétegű szabályozási rendszerek Technológia orientáltság hiányosságai Biztonság korlátozza a személyes adatok védelmét, az anonimitást és így más alapjogok érvényesülését Cél a helyes mérték megtalálása Önszabályozás és az önvédelem eszközei
Köszönöm a figyelmet!